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(57) Abstract: The invention relates to a security-related automation system and a method for operating said system. In order to 
produce a security-related bus automation system which involves a minimum amount of hardware redundancy and which can be 
adapted to requirements in a flexible manner, the automation system comprises at least one security analyzer which is connected to 
the bus by means of an interface and which monitors the data flow via said bus, whereby the analyzer is configured in such a way that 
it can execute security-related functions. The automation system is characterized in that a standard control device conurols at least 
one security-related output and the security analyzer is configured in such a way that it can monitor and/or process security-related 
data in the bus data flow. 

(57) Zusammenfassung: Die Erfindung betrifft ein sicherheitsbezogenes Automatisiemngssystem und ein Verfahren zum Betrieb 
eines derartigen Systems. Um ein sicherheitsbezogenes Automatisierungsbussystem bereitzustellen. welches mit einer geringen 
Hardware-Redundanz auskommt und flexibel an die jeweiligen Anfordemisse angepafit werden kann, umfaBt das Automatisiemngs- 
system zumindest einen Sicherheitsanalysator, der mittels einer Schnitlstelle an den Bus angeschlossen ist und den Datenflu6 iiber 
den Bus mithbrt, wobei der Analysator zum AusfUhren von sicherheitsbezogenen Funktionen eingerichtet ist. Das Automatisie- 
mngssystem zeichnet sich dadurch aus, daB die Standardsteuereimichtung zumindest einen sicherheitsbezogenen Ausgang ansteuert 
und der Sicherheitsanalysator zur Oberprufiing und/oder zum Verarbeiten von sicherheitsbezogenen I>aten im Busdatenstrom aus- 
gebildet ist. 
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S i che rhe i t sbe zoge ne s Au t oma t i s i e rung sbus s vs t em 



5 Die Erfindung betrifft ein sicherheitsbezogenes 

Automat isierungsbudsys tern nach dem Oberbegrif f des Anspruchs 
1 und ein Verfahren zum Betrieb eines derartigen Systems. 



Steuer- und Datenubertragungsanlagen haben aufgrund des damit 

10 moglichen hohen Automatisierungsgrades eine herausragende 
Stellung nicht nur in der industriellen Fertigung erlangt. 
Derartige Automat isierungssyst erne weisen im allgemeinen 
zumindest Abschnitte oder Komponenten auf , an welche erhohte 
Anf orderungen im Hinblick auf die Sicherheit zu stellen sind* 

15 Beispielsweise muS sichergestellt sein, daS bestimmte 

Maschinen innerhalb vorgegebener Betriebsparameter betrieben 
werden oder es muS verhindert werden, daS eine Maschine^ 
lauft, obwohl sich eine Person in deren Arbeitsbereich 
auf halt. In dieser Hinsicht darf beispielsweise eine 

20 Drehmaschine nicht eine vorgegebene Drehzahl uberschreiten 
Oder sich nicht beim Betrieb eines Roboters eine Person im 
Aktionsradius des Roboters aufhalten. Weiterhin muS beim 
Betrieb eines Automat is ierungssystems sichergestellt sein, 
daS bei einem Ausfall einer Komponente des Systems die Anlage 

25 nicht in einen undef inierten und damit nicht vorhersagbaren 
Zustand gerat . 



Ein Ansatz fur diese Problematik nach dem Stand der Technik 
besteht darin, insbesondere die sicherheitsre levant en 
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Komponenten des Systems mehrkanalig, d.h. redundant 
aufzubauen. Beispielsweise kann in einem 
Automatisierungsbussystem vorgesehen sein, 

Sicherheitsbuskomponenten, d.h. z.B. Busteilnehmer , die einer 

5 sicherheitsrelevanten Maschine zugeordnet sind, doppelt 

auszufuhren. Gleichzeitig kann auch die zentrale Steuerung 
und der Bus mehrkanalig aufgebaut sein oder gar eine von der 
ProzeSsteuerung getrennte spezielle und unter Umstanden 
redundant aufgebaute Sicherheitssteuerung zur Steuerung der 

10 sicherheitsrelevanten Komponenten vorgesehen sein. Diese 

Sicherheitssteuerung fuhrt im wesentlichen die Verknupf ungen 
der sicherheitsbezogenen Eingangsinf ormationen durch und 
ubermittelt daraufhin, beispielsweise uber einen 
Automat isierungsbus, sicherheitsbezogene Verknupf ungs da ten an 

15 Ausgangskomponenten. Die Ausgangskomponenten ihrerseits 

bearbeiten die empfangenen SicherheitsmaSnahmen und geben 
nach positiver Priifung diese an die Peripherie aus . Dariiber 
hinaus schalten sie ihre Ausgange in einen sicheren Zustand, 
wenn sie einen Fehler f eststellen oder innerhalb einer 

20 vorgegebenen Zeitdauer keine gultigen Daten mehr empfangen 
haben . 

Der Einsatz von zwei Steuerungen im System, d.h. eine 
ProzeSsteuerung sowie der beschriebenen Sicherheitssteuerung 

25 hat jedoch einige Nachteile zur Folge . Gerade aufgrund 
steigender Anf orderungen an die Reaktionszeit von 
Automatisierungssystemen muS ein derartiges System haufig auf 
Sicherheitsinseln aufgeteilt werden. Weiterhin treten 
insbesondere bei mehrkanaligen Steuerungssystemen 

30 Synchroni sat ionspr obi erne auf, welche trotz prinzipiell 
intakter Anlage zu Ausfallen oder gar Zerstorungen von 
Maschinenteilen fuhren konnen. Weiterhin zieht der 
mehrkanalige Aufbau durch den vergroSerten Hardware -Auf wand 
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eine Erhohung der System- als auch der Wartungskosten nach 
sich. 

Aus DE 198 15 150 Al ist ein System bekannt, welches eine an 
5 den Bus angeschlossene Auswerteeinheit umfaSt, die 

fortlaufend die uber das Bussystem ubertragenen Signale 
abhort und nur bei fehlerfreier Identif izieirung von uber das 
Bussystem ubertragenen Kodieirungen ein Arbeitsgerat in 
Betrieb setzt. Hierzu werden die durch den Busteilnehmer an 
10 den Master gesendeten Eingangsdaten ausgewertet und im 

Ansprechen auf die Auswertung das Arbeitsgerat eingeschaltet 
Oder ausgeschaltet belassen. 

Ein derartiger Ansatz ist im Vergleich zur erstbeschriebenen 
15 Anlage nicht so kostenintensiv, er ist jedoch sehr unflexibel 
im Hinblick auf eine Erweiterung des Systems oder eine 
Anpassung der Anlage an andere Buskomponenten . Weiterhin ist 
die Auswerteeinheit allein fur das Auslosen einer 
sicherheitsgerichteten Funktion zustandig, so daS zur 
20 Einhaltung hoher Sicherheitsanf orderungen die Auswerteeinheit 
zwingend redundant ausgefuhrt werden muS. 

Aufgabe der Erfindung- ist es somit, ein sicherheitsbezogenes 
Automat isierungsbus system bereitzustellen, welches moglichst 
25 mit einer geringen Hardware -Redundanz auskommt und flexibel 
an die jeweiligen Anf ordernisse angepaSt werden kann. 

Die Erfindung lost dieses Problem mit einem 

Automat isieorungsbussystem mit den Merkmalen des Anspnichs 1 
30 sowie ein Verfahren zum Betrieb einer derartigen Steuer- und 
Datenverarbeitungsanlage nach Anspruch 14 . Weiterbildungen 
der Erfindung sind in den Unteranspruchen angegeben. 
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Erf indungsgemafi umfafit das Automatisieirungssystem ein 
Bussystem, daran angeschlos'sene Sensor- und Aktor- 
Busteilnehmer und eine Standardsteuerungseinrichtimg, welche 
die ProzeSsteuerung mit der Verarbeitung von prozeSgebundenen 
5 E/A-Daten und eine sicherheitsbezogene Steuerung mit der 
Verarbeitung von sicherheitsbezogenen Daten, d.h. der 
Steuerung von sicherheitsbezogenen Ein- und Ausgangen, 
durchfuhrt- Vieiterhin ist ein sogenannter 
Sicherheitsanalysator umfaSt, der mittels einer 
10 entsprechenden Schnittstelle an den Bus angeschlossen ist und 
den DatenfluS uber den Bus mithort, wobei der Analysator zum 
Ausfuhren von sicherheitsbezogenen Funktionen eingerichtet 
ist. Dies betrifft beispielsweise die Ansteuerung eines 
Schutzes zum Abschalten der Versorgungsspannung von 
15 Systemkomponenten oder die Ermittlung von Qualititsdaten . 

Derartige Qualitatsdaten konnen allgemeine Systemparameter , 
z-B- Daten uber das Auftreten von Fehlern in 
Systemkomponenten oder Busubertragungs fehlern umfassen. Das 
Automatisierungssystem zeichnet sich dadurch aus, dafi die 
20 Standardsteuereinrichtung zumindest einen 

sicherheitsbezogenen Ausgang uber den Bus ansteuert, sie kann 
jedoch auch selbst einen derartigen sicherheitsbezogenen 
Ausgang aufweisen. Erf indungsgemalS bezeichnet ein 
sicherheitsbezogener Ausgang eine Senke einer 
25 Sicherheitsinf ormation, die in Abhangigkeit der Information 
sicherheitsgerichtete Ablaufe startet, beispielsweise eine 
Mas chine herunterf ahrt oder gar durch Unterbrechen des 
Versorgungsstromes eine Maschine abschaltet . Der 
Sicherheitsanalysator ist im erf indungsgemaSen 
30 Automatisierungssystem zur Uberprufung und/oder zum 

Verarbeiten von sicherheitsbezogenen Daten, insbesondere 
sicherheitsbezogenen Verknupf ungsdaten im Busdatenstrom 
ausgebildet. Dabei sind sicherheitsbezogene Verknupf ungsdaten 
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beispielsweise Daten, welche die sicherheitsbezogene 
Steuerung nach der Verarbeitung von sicherheitsbezogenen 
Daten an sicherheitsbezogene Ausgange sendet . 

Damit wird ein System bereitgestellt , welches extrem flexibel 
auf die jeweiligen Anf orderungen an das 
Automatisierungssystem eingestellt werden kann. 
Beispielsweise kann jeder Sicherheitsbuskomponente ein 
derartiger Sicherheitsanalysator zugeordnet oder auch ein 
Sicherheitsanalysator in die Sicherheitskomponente, 
beispielsweise einen Sicherheitsbusteilnehmer selbst 
integriert werden, es ist jedoch auch moglich, daS ein 
einzelner Sicherheitsanalysator die Verarbeitung 
sicherheitsbezogener Daten oder die Uberprufung der 
sicherheitsbezogenen Verkniipf ungsdaten im Busdatenstrom fur 
mehrere Sicherheitsbuskomponenten oder gar alle 
Sicherheitsbuskomponenten des Systems vornimmt . 

Das Prinzip der Erfindung beruht auf der Erkenntnis des 
Erfinders, daS die in heutigen Automat is ierungsanlagen 
eingesetzte Elektronik selbst nur selten ausfallt. Die 
Integration der aktuellen digitalen Sicherheitstechnik in die 
Automat isierungstechnik in Form von Sicherheitssteuerungen 
Oder Sicherheitsbussystemen nach dem Stand der Technik hat 
hauf ig den Nachteil einer abnehmenden Verf ugbarkeit des 
Systems. Urn diese Ausf allzeiten zu reduzieren, kommen deshalb 
neben den genannten Sicherheitskomponenten auch 
Verfugbarkeitsstrukturen zum Einsatz, die ihrerseits aber zu 
einer nicht unerheblichen Zunahme der Kosten durch den 
erhohten Hardware -Auf wand fuhren. 

Die Erfindung setzt deshalb auf der Zuverlassigkeit heutiger 
Automatisierungssysteme auf und integriert eine reine 
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Notf all-Elektronik bzw. -Software, die erst dann aktiv in den 
Betrieb der Anlage eingreift, wenn die Standardtechnik 
f ehlerhaf t arbeitet . Die Standardsteuerungseinrichtung 
verarbeitet deshalb auch sicherheitsbezogene Daten, d.h. sie 
5 steuert sicherheitsrelevante Ein- und Ausgange . Insbesondere 
die erzeugten sicherheitsbezogenen Verknupf ungsdaten im 
Busdatenstrom werden jedoch vora Sicherheitsanalysator 
abgehort und uberpruf t . Dies hat fur den Anwender den 
Vorteil, daS eine strikte Trennung der Sicherheitstechnik und 
10 der Standardtechnik bei der Programmierung nicht mehr 
unbedingt notwendig ist. Das erf indungsgemaSe 
Automat is ierungssystem ist auf alle Systeme mit einem Bus, 
insbesondere auf Bussysteme mit Master-Slave- 

Buszugrif f sverf ahren anwendbar . Unabhangig von der Anordnung 
15 des Sicherheitsanalysators im Fernbus-Abschnitt kann dieser 
bei einem beispielhaf ten seriellen Bussystem nach EN 50 254 
alle IN-Daten auf dem Bus lesen, der Umfang der mithorbaren 
OUT-Daten hangt jedoch von der Anordnung des 
Sicherheitsanalysators im System ab. Die Bezeichnung 
20 Busdatenstrom bezeichnet dabei erf indungsgemaS alle uber dem 
Bus ubermittelte Inf ormationen, insbesondere auch die in 
einem Summenrahmen uber den Bus transport ierten Daten. 

Um den einschlagigen Sicherheitsanf orderungen zu genugen, 
25 kann der Sicherheitsanalysator im Ansprechen auf die 
Uberprufung und/oder die Verarbeitung von 
sicherheitsbezogenen Daten, insbesondere von 
Verknupf ungsdaten im Busdatenstrom, die notwendigen 
sicherheitsbezogenen Funktionen auslosen. Hierbei kann der 
30 Sicherheitsanalysator sowohl auf OUT-Daten, d.h. 

Verknupf ungsdaten der Standardsteuereinrichtung reagieren als 
auch auf IN-Daten, d.h. Inf ormationen im Busdatenstrom, 
welche von einzelnen E/A-Busteilnehmern an die 
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Standardsteuereinrichtung gesendet wurderi. 

Urn einen Fehler in sicherheitsbezogenen Verknupf ungsdaten, 
welche uber den Bus transportiert werden, zu erkennen, kann 
der Sicherheitsanalysator eine frei programmierbare 
Logikeinrichtung aufweisen, in welcher die abgehorten Daten, 
insbesondere die abgehorten sicherheitsbezogenen Daten 
verarbeitet werden. Auf diese Weise kann der 
Sicherheitsanalysator durch das Nachbilden der 
sicherheitsbezogenen Verkniipfungen der Standardsteuerung 
deren als OUT-Daten uber den Bus gesendeten Verknupf ungsdaten 
uberprufen und im Ansprechen auf die Uberprufung oder den 
Vergleich notwendige sicherheitsbezogene Fvmktionen 
ausfuhren. Urn die Anlage beispielsweise in einen sicheren 
Zustand zu bringen, kann der Sicherheitsanalysator einen 
Ausgang umfassen, uber welchen eine Baugruppe, insbesondere 
ein Busteilnehmer des Autotnatisierungsbussystems ein- oder 
ausschaltbar ist . Die Abschaltung kann durch Trennen von der 
Spannungsversorgung realisiert werden. Urn zusammenhangende 
bzw. voneinander abhangende Busteilnehmer in Gesamtheit in 
einen sicheren Zustand zu bringen, kann der 

Sicherheitsanalysator zur Abschaltung eines Busstichs, einer 
mehrere, einander zugeordnete Busteilnehmer umfassende 
Sicherheitsinsel oder zum Abschalten von Komponenten nach 
einer im Analysator abgelegten Verrieglungslogik eingerichtet 
sein. Es ist jedoch auch moglich, dafi uber den 
sicherheitsbezogenen Ausgang des Sicherheitsanalysators die 
Gesamtanlage von der Spannungsversorgung abgetrennt wird. 

Der Sicherheitsanalysator kann sicherheitsbezogene 
Informationen neben dem Abhoren des Busses weiterhin xiber 
einen direkten Eingang erfassen, mittels welchem der 
Sicherheitsanalysator mit einer sicherheitsbezogenen 
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Einrichtung des Automat is ierungsbussys terns verbunden ist . 
Diese Einrichtung kann dabei, mulS aber nicht an den Bus 
angeschlossen sein. Beispielsweise umfaSt die so zugangliche 
sicherheitsbezogene Information die Moment andrehzahl der 
schon erwahnten Drehmaschine, wobei der Analysator im Falle 
des Uberschreitens einer vorbestimmten Grenzdrehzahl die 
Maschine mittels ihres Ausgangs abschaltet. 

Urn eine Trennung der sicherheitsbezogenen Inf ormationen und 
der ProzeSdaten im System und insbesondere in der Steuerung 
durchzufuhren, kann das Bussystem uber eine Anschaltbaugruppe 
mit einem Host verbunden sein, wobei die prozefibezogene 
Steuerung der Standardsteuereinrichtung im Host und die 
sicherheitsbezogene Steuerung der Standardsteuereinrichtung 
in der Anschaltbaugruppe angeordnet ist. Vorteilhaf terweise 
lafit sich die sicherheitsbezogene Steuerung beispielsweise in 
Form von Sof tware-Funktionsbausteinen, welche die notwendigen 
Verknupfungen der sicherheitsrelevanten E/A- Inf ormationen 
vornehmen, realisieren. 

Die sicherheitsbezogene Steuerung kann somit in gleicher 
Weise implementiert werden wie die ProzeSsteuerung . Bei der 
Codierung der sicherheitsbezogenen Verknupfungen ist der 
Programmierer ebenso wie bei der ProzeSsteuerung von der 
verwendeten Programmiersprache unabhangig. 

Die Verknupfungen auf dem Sicherheitsanalysator haben in etwa 
denselben Umfang wie die Verknupfungen auf dem Host 
beziehungsweise auf der Anschaltbaugruppe und konnen entweder 
in derselben oder aber in einer anderen Programmiersprache 
erstellt werden. Der Sicherheitsanalysator fuhrt zusatzlich 
einen Vergleich der Verknupfungen zwischen den Ergebnissen 
des Host -Systems beziehungsweise der Anschaltbaugruppe und 
seinen eigenen durch und startet beispielsweise beim 
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Auftreten von Ungleichheit sicherheitsgerichtete Funktionen. 

Das Abnahmeverf ahren eines solchen Systems kann erheblich 
einfacher erfolgen, als es bei den Systemen nach dem Stand 
5 der Technik der Fall ist. Die Anlage kann mit alien 

Sicherheitsverriegeliingen in Betrieb genommen werden, ohne 
die Sicherheitstechnik aktiv geschaltet zu haben. Die 
notwendigen Verknupf ungen befinden sich dabei im Host -System 
Oder in der Anschaltbaugruppe . Die Funktionsf ahigkeit der 

10 Anlage kann zunachst im Black-Box-Test untersucht werden. In 
einem zweiten Schritt wird dann die Sicherheitstechnik in 
Form der beziehungsweise des Sicherhei tsanalysators (en) 
zugeschaltet . Da dort nur die Sicherheitsverknupf ungen, nicht 
aber die ProzeiSdatenverknupf ungen vorhanden sind, lafit sich 

15 nun der White-Box-Test schnell und ubersichtlich durchfuhren, 
wodurch sich die Abnahmezeiten erheblich reduzieren lassen. 
Da die sicherheitsbezogenen Verknupf ungsalgorithmen auch auf 
dem Host -System beziehungsweise der Anschaltbaugruppe 
ablaufen, ist ein Vergleich mit denen des Analysators schnell 

20 moglich. 

Wird der Bus als serieller Ringbus, beispielsweise als Bus 
gemaS EN 502 54 ausgebildet, und ist ein Sicherheitsanalysator 
im Top-Level- Fernbus-Abschnitt des Automatisierungssystems 

25 angeordnet, so hat dieser Zugriff auf alle IN-Daten des 

Systems, da in dem bezeichneten System die Daten in einer 
hin- und in einer ruckf uhrenden Ubertragungsleitung durch 
jeden Busteilnehmer gefuhrt werden. Damit ist der Analysator 
in der Lage, ein auf die IN-Daten und die ihm zuganglichen 

30 Out-Daten beschranktes ProzeSabbild aufzubauen. 



Bei Bussystemen mit Linientopologie kann der 

Sicherheitsanalysator in der Regel an jedem Ort im Bussystem 
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alle Information mitlesen und damit ein vollstandiges 
ProzeSabbild anlegen. 

In einer vorteilhaf ten Ausf uhrungsf orm der Erfindung ist der 
5 Sicherheitsanalysator in einem seriellen Ringbussystem direkt 
nach dem Host oder der Anschaltbaugruppe angeordnet, so daS 
dieser ein vollstandiges Prozefiabbild aufbauen kann. Somit 
ist der Sicherheitsanalysator in der Lage jederzeit und in 
vollem Umfang sicherheitsgerichtete Daten, insbesondere 
10 sicherheitsgerichtete Verknupf ungsdaten auf ihre Richtigkeit 
zu liberprufen beziehungsweise zu verarbeiten, da in diesem 
Fall der Analysator Zugriff auf alle In- und Out-Daten, d.h. 
alle Eingangs- und Ausgangsdaten besitzt. 

15 Ist der Sicherheitsanalysator in der Anschaltbaugruppe des 
beschriebenen seriellen Ringbussystems angeordnet, so kann 
die Funktion des Sicherheitsanalysators mittels einer 
Softwarekomponente in der Anschaltbaugruppe ausgefuhrt sein. 
Vorteilhafterweise weist die Anschaltbaugruppe hierbei einen 

20 sicherheitsbezogenen Ausgang auf, um entsprechende 

sicherheitsgerichtete Funktionen, beispielsweise das 
Abschalten einer Versorgungsspannung mittels eines Schutzes 
aus zuf uhren . 

25 Das Ausfuhren derartiger sicherheitsgerichteter Funktionen 

kann jedoch in einer besonderen vorteilhaf ten Aus fuhrungs form 
der Erfindung durch direkte Datenmanipulation des 
Busdatenstroms durch den Sicherheitsanalysatord realisiert 
werden. Das Manipulieren umfafit das Umschreiben, das 

30 Erganzen, das Einfugen sowie das Substituieren sowohl von 
OUT-Daten als auch von IN-Daten des Busdatenstroms. Bei 
Kenntnis des Prozefiabbildes kann somit der 

Sicherheitsanalysator in weitreichender Form auf den Betrieb 
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des erf indungsgemaSen Automat isierungssystems EinfluS nehmen 
und damit sicherstellen, daS die Anlage zu jedem Zeitpunkt in 
definierten Zustanden gehalten werden kann. Das Prinzip der 
Datenmanipulation kann weiterhin auch dazu benutzt werden, urn 
einen in einetn im Busstich angeordneten Sicherheitsanalysator 
im allgemeinen nicht zugangliche Busdatenstromanteile 
verfugbar zu machen, indem ein im Fernbus angeordneter 
Sicherheitsanalysator die betref fenden Daten in Daten 
wandelt, welche in den betref fenden Busstich transportiert 
werden. Auf diese Weise ist eine direkte Datenverbindung 
zwischen Sicherheitsanalysatoren realisiert . 

Die Datenmanipulation durch einen Sicherheitsanalysator kann 
in einem nach dem Master-Slave-Prinzip arbeitenden Bussystem 
auch verwendet werden, urn Daten zwischen zumindest zwei 
Slaves, insbesondere zwischen einzelnen Busteilnehmem, 
mittels einer Punkt-zu-Punkt-Verbindung uber wenigstens einen 
Sicherheitsanalysator zu ubertragen, wobei der 
Sicherheitsanalysator Daten im Busdatenstrom umkopiert. Der 
Master ist bei dieser Daten- Verbindung je nach Lage der 
beiden Slaves im Bussystem unter Umstanden nicht eingebunden, 
so daS der Datentransport vollig unabhangig vom Busmaster 
realisiert wird. Eine derartige Datenverbindung zwischen zwei 
Slaves ist im ubrigen auch durch die Ausfuhrung einer 
Kopierf unktion durch den Busmaster moglich. Wahrend bei einem 
Sicherheitsanalysator als Mittler, wie vorstehend 
beschrieben, zumindest in bestimmten Fallen der Busmaster 
nicht in den Datentransport eingebunden ist, ist der 
Busmaster fur die zweite Form einer Punkt-zu-Punkt -Verbindung 
zwischen zwei Slaves zwingend notwendig. 

Das Austauschen von Daten zwischen zumindest zwei Slaves, 
beispielsweise zwischen einzelnen Busteilnehmem, mittels 
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einer Punkt- zu-Punkt-Verbindung kann weiterhin auch durch die 
Einbindung des Masters oder der Steuerung in die Ubertragung. 
realisiert werden, wobei in diesem Fall der Master bzw. die 
Steuerung die Daten im Busdatenstrom umkopiert. 

Zur Erhohung der Datensicherheit konnen die 

sicherheitsbezogenen Daten in einem Sicherheitsprotokoll uber 
den Bus ubertragen werden. Beispielsweise kann das 
Sicherheitsprotokoll zusatzlich zu dem Sicherheitsdatum das 
negierte Sicherheitsdatum, eine laufende Nummer, eine Adresse 
und/oder eine Datensicherungsinf ormation (CRC) umfassen. 

Die Flexibilitat des Systems zeigt sich insbesondere in einer 
weiteren vorteilhaf ten Ausf iihrungsf orm der Erfindung, bei 
welcher das erf indiingsgemaSe Automat isierungssystem mehrere 
Sicherheitsanalysatoren umfaSt, wobei in einem 
Sicherheitsanalysator ablaufende sicherheitsbezogene 
Verknupfungen redundant in wenigstens einem weiteren 
Sicherheitsanalysator durchgefuhrt werden und durch beide 
Sicherheitsanalysatoren zumindest teilweise die gleichen 
Sicherheitsfunktionen ausgefuhrt und ausgelost werden. Dabei 
konnen die betreffenden Sicherheitsanalysatoren zusatzlich zu 
den redundanten, d-h. auf beiden Analysatoren ablaufenden 
Verknupfungen auch unterschiedliche sicherheitsbezogenen 
Verknupfungen ausfuhren. 

Die Erfindung wird im folgenden durch das Beschreiben einiger 
Ausfuhrungsf ormen unter Zugrundelegen der Zeichnungen 
erlautert, wobei 

Fig. 1 in einer Prinzipdarstellung eine erste 
Ausfuhrungsf orm des erf indungsgemaSen 
Automat isierungssystems mit zwei 

Sicherheitsanalysatoren im Fernbus-Abschnitt zeigt, 
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Fig. 2 in einer Prinzipskizze eine weitere Ausf uhrungsf orm 
der Erfindung darstellt, wobei ein 
Sicherheitsanalysator direkt hinter der 
Anschaltbaugruppe angeordnet ist, 
5 Fig. 3 das erf indungsgemaSe Automat isierungssys tern in 
einer Prinzipskizze mit einem in die 
Anschaltbaugruppe integrierten 
Sicherheitsanalysator sowie einem zweiten 
Sicherheitsanalysator am Kopf eines Busstichs 
10 zeigt. 

Fig. 4 ein erf indungsgemaSes Automat isierungssystem mit 

zwei Sicherheitsanalysatoren darstellt, wobei deren 
Ausgange miteinander verbunden sind, 
Fig. 5 in einer prinzipiellen Blockbilddarstellung einen 
15 Sicherheitsanalysator mit verschiedenen Ein- und 

Ausgangen zeigt und 
Fig. 6a und 6b in einer Prinzipdarstellung die 

Datenmanipulation des Busdatenstroms durch den 
Sicherheitsanalysator zeigt. 

20 

In Fig. 1 ist in einer Prinzipdarstellung das 
erf indungsgemafie Automat isierungssystem 1, d.h. eine Steuer- 
und Datenubertragungsanlage gemaS der Erfindung dargestellt. 
Es umfaSt einen Bus 2, an welchen E/A-Busteilnehmer mit 

25 zugeordneten Sensoren und Aktoren angeschlossen sind. Eine 
Standardsteuerungseinrichtung 4 fuhrt uber den Bus die 
Pro zeiSsteue rung mit der Verarbeitung von prozeSgebundenen 
E/A-Daten durch. Hierzu empfangt die Steuerung 4 Daten von 
den einzelnen Busteilnehmem 31-38, die wiederum selbst von 

30 der Standardsteuerungseinrichtung Daten empfangen. Weiterhin 
ist die Standardsteuerungseinrichtung mit der Verarbeitung 
von sicherheitsbezogenen Daten bef aSt . In diesem Sinne 
ubernimmt die Standardsteuerungseinrichtung neben den 
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prozeSgebundenen Ein- und Ausgangen auch die Verarbeitung der 
sicherheitsrelevanten Ein- und Ausgange . GemaS der Erfindung 
bezeichnet ein sicherheitsbezogener Eingang eine 
Inf ormationsquelle, wobei die durch die Quelle abgegebene 
5 Information in irgendeinem Zusarnmenhang zur Sicherheit des 
erf indungsgemafien Automatisierungssystems steht- 
Beispielsweise ist der Drehzahlsensor einer Drehmas chine, 
welche uber einen Busteilnehmer 32 an den Bus 2 angeschlossen 
ist, ein derartiger sicherheitsrelevanter Eingang, da die 
10 Maschine nicht uber eine vorgegebene Grenze drehen darf . Ein 
weiteres Beispiel fur einen sicherheitsbezogenen Eingang in 
der beschriebenen Ausf uhrungsf orm der Erfindung ist ein 
Photodetektor einer Lichtschranke , mit welcher der 
Arbeitsbereich der Drehmaschine uberwacht wird. Auch in 
15 diesem Fall besitzt die Standardsteuerungseinrichtung uber 

den Bus Zugriff auf die Information des sicherheitsbezogenen 
Eingangs. Nach der Verarbeitung der sicherheitsbezogenen 
Daten, beispielsweise in Form einer logischen Verknupfung 
sendet die Steuerungseinrichtung 4 diese sicherheitsbezogenen 
20 Verknupfungsdaten an sicherheitsbezogene Ausgange. 

Beispielsweise kann die Standardsteuerungseinrichtung einen 
Abschaltbefehl fur die erwahnte Drehmaschine uber den Bus zum 
zugeordneten Busteilnehmer 32 absenden, wenn die 
Hochstdrehzahl uberschritten wurde und damit eine Gefahr 
25 besteht, daS die Anlage auiSer Kontrolle gerat . Auch in diesem 
Fall kommuniziert die sicherheitsbezogene Steuerung in der 
Standardsteuerungseinrichtung uber den Bus mit dem 
sicherheitsbezogenen Ausgang . 

30 Das erf indungsgemaSe Automatisierungssystem umfaSt ferner 
zwei Sicherheitsanalysatoren 5, 5^, welche jeweils mittels 
einer Schnittstelle den DatenfluS uber das Bussystem in 
Echtzeit mithoren. Die Sicherheitsanalysatoren sind zum 
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Verknupfen und/oder Verarbeiten von sicherheitsbezogenen 
Daten im Busdatenstrom eingerichtet . Dies bedeutet, daJS sie 
sicherheitsbezogene Verknupf ungen der 

Standardsteuerungseinrichtung nachvoll Ziehen konnen, da ihnen 
die uber den Bus transport iert en sicherheitsbezogenen Daten 
zuganglich sind. 

Hierzu weisen die Sicherheitsanalysatoren 5, 5' jeweils eine 
frei programmierbare Logikeinrichtung auf , in welcher die 
abgehorten Daten, insbesondere die abgehorten 

sicherheitsbezogenen Daten verarbeitet werden. Beispielsweise 
konnen die Sicherheitsanalysatoren 5, 5' durch Nachbilden der 
sicherheitsbezogenen Verknupf ungen der Standardsteuerung 
deren als Ausgangsdaten uber den Bus gesendeten 
Verknupf ungs daten uberprufen. In vorliegendem Fall be Ziehen 
sich die sicherheitsbezogenen Verknupf ungen auf einen 
einzelnen Busteilnehmer 32. In diesem Fall ist der 
Sicherheitsanalysator 5 fur die sicherheitsbezogenen Ein- 
bzw. Ausgange, welche diesen Busteilnehmer zugeordnet sind, 
zustandig. In der in Fig. 1 dargestellten Ausfuhrungsf orm der 
Erfindung sind die Sicherheitsanalysatoren 5 bzw. 5' keine 
logischen Busteilnehmer des Automatisierungssystems . Der 
Sicherheitsanalysator 5 weist jedoch einen 
sicherheitsbezogenen Ausgang 6 auf, uber welchen der dem 
Sicherheitsanalysator zugeordnete Busteilnehmer 32 
ausgeschaltet werden kann. Dies geschieht mittels einer 
Schaltung eines Schutzes 7, welcher den Busteilnehmer bzw. 
die angeschlossenen Baugruppen und Maschinen von der 
Versorgungsspannung trennt - Auf diese Weise f uhrt der 
Sicherheitsanalysator 5 im Ansprechen auf die UberprufLing 
Oder den Vergleich eine sicherheitsbezogene Fimktion, hier 
das Abschalten der Versorgungsspannung aus . Wenn 
beispielsweise ein Fehler der sicherheitsbezogenen 
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Verknupfungsdaten aus der Standardsteuereinrichtung erkannt 
wird, kann der Sicherheitsanalysator uber den beschriebenen 
Ausgang den betroffenen Busteilnehmer abschalten, da die 
sicherheitsbezogene Steuerung durch die 
5 Standardsteuerungseinrichtung nicht mehr vorgabegemaS 
arbeitet. In ahnlicher Weise wird ein Busteilnehmer 
abgeschaltet , wenn die sicherheitsbezogene Steuerung nicht 
notwendige Daten an den Busteilnehmer sendet und 
inf olgedessen Gefahr besteht, daS die Anlage in einen 
10 undef inierten Zustand gerat . 

In der beschriebenen Aus fuhrungs form ist uber einen 
Buskoppler 9 ein Lokalbusst ich 8 mit drei Busteilnehmern 33, 
34 und 35 angeordnet . Diese Busteilnehmer sind von der 

15 Funktionf ahigkeit und vom Betrieb des Busteilnehmers 3 2 

abhangig, welcher dem Sicherheitsanalysator 5 zugeordnet ist. 
Demnach ist es notwendig, beim Abschalten des Busteilnehmers 
32 auch die Busteilnehmer des Lokalbusst ichs 8 von der 
Versorgungsspannung zu trennen. Diese Verrieglungslogik ist 

20 im Sicherheitsanalysator 5 abgelegt. Somit sind insgesamt 
vier Busteilnehmer mit ihren nachgeordneten Baugruppen und 
Maschinen abzuschalten, was in Fig. 1 schematisch durch einen 
Vierfach-Schutz 7 dargestellt ist. 

25 Der Sicherheitsanalysator 5' ist wie der erste 

Sicherheitsanalysator 5 zum Abhoren der uber den Bus 
transport ierten Daten eingerichtet . Im Gegensatz zum ersten 
Sicherheitsanalysator 5 weist er jedoch keinen Ausgang auf, 
mit welchem er sicherheitsbezogene Funktionen ausfuhren kann. 

30 Statt dessen umfaSt er einen sicherheitsbezogenen Eingang 10, 
uber welchen der Sicherheitsanalysator mit einer 
sicherheitsbezogenen Einrichtung 11 des 
Automatisierungssystems zur Erfassung von 



BNSDOCID: <WO 



00793S2A2 I > 



wo 00/79352 



17 



PCT/DE00/0l90i 



sicherheitsbezogenen Daten verbunden ist. Im vorliegenden 
Fall umfafit diese Einrichtung 11 einen Photodetektor , welcher 
als Teil einer Lichtschranke den Arbeitsbereich eines 
SchweiSroboters uberwacht . Der Sensor ist nicht mittels eines 
Busteilnehmers an den Automat isierungsbus angeschlossen, 
sondem direkt an den Sicherheitsanalysator 5'. Im Ansprechen 
auf die uber den sicherheitsbezogenen Eingang 10 des 
Sicherheitsanalysators 5' erfaSten sicherheitsbezogenen Daten 
fuhrt auch hier der Sicherheitsanalysator eine 
sicherheitsbezogene Funktion aus . Wird durch den 
Photodetektor 11 das Eindringen einer Person in den 
Arbeitsbereich des Roboters erfafit, so schaltet der 
Sicherheitsanalysator 5' den entsprechenden Busteilnehmer 38 
und seine zugeordneten Baugruppen vmd den Roboter selbst aus. 
Hierzu weist der Sicherheitsanalysator 5' eine Einrichtung 
zum Manipulieren der auf den Bus ubertragenen Eingangs- und 
Ausgangsdaten auf. Dabei kann zumindest ein Datum des 
Datenstroms uberschrieben, geloscht und/oder zumindest ein 
Datum in den Busdatenstrom eingefugt werden. Ein derartiger 
Vorgang ist in den Fig. 6a und 6b veranschaulicht . Diese 
Figuren zeigen das Veranden von Eingangs- bzw. Ausgangsdaten 
der Standardsteuereinrichtung 4 durch den 
Sicherheitsanalysator 5'. In beiden Fallen wird eine 
Inf ormationseinheit 12 in einen Speicher des 
Sicherheitsanalysators eingelesen und daraufhin an die 
entsprechende Stelle des Datenstroms eine aus einem anderen 
Speicher des Sicherheitsanalysators entnommene 
Inf ormationseinheit eingeschrieben. Die Abschaltung des 
Busteilnehmers und der daran angeschlossenen Baugruppen und 
damit des Roboters kann sowohl uber die Manipulation der 
Eingangsdaten als auch uber die Manipulation der 
Ausgangsdaten der Standardsteuereinrichtung vorgenommen 
werden. Wird beispielsweise der Eingangsdatenstrom derartig 
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verandert, daS der Standardsteuerungseinrichtung 4 ein 
Betriebsparameter aufierhalb der vorgegebenen Grenzen gemeldet 
wird, so schaltet die Standardsteuerungseinrichtung uber den 
Bus mittels eines dem bestimmten Busteilnehmer 3 8 
5 ubermittelten sicherheitsbezogenen Verknupfungsdatums diesen 
Busteilnehmer und damit den SchweiSroboter ab. In gleicher 
Weise kann der Sicherheitsanalysator eine Freigabe durch 
Standardsteuereinrichtung mittels Uberschreiben des 
entsprechenden Ausgangsdatums ruckgangig machen. 

10 

Fig. 6b zeigt den Fall, daS der Sicherheitsanalysator den 
Ausgangsdatenstrom auf dem Bus verandert . In diesem Fall 
manipuliert der Sicherheitsanalysator die an den 
Busteilnehmer 3 8 gesendeten Daten derartig, daS der 
15 Busteilnehmer seinen Ausgang und damit auch den 
SchweiSroboter abschaltet. 

Fig. 2 zeigt eine weitere Ausfuhrungsf orm der Erfindung. 
Dabei ist der Bus ein nach dem Master-Slave-Prinzip 
arbeitendes System, wobei die Standardsteuerungseinrichtung 
als Master und die einzelnen Busteilnehmer als Slaves 
fungieren. Das Bussystem ist uber eine Anschaltbaugruppe 41 
mit einem Host 4 0 verbunden, wobei die prozeSbezogene 
Steuerung im Host und die sicherheitsbezogene Steuerung in 
der Anschaltbaugruppe angeordnet ist bzw. ablauft. Die Anlage 
umfaSt einen einzelnen Sicherheitsanalysator 5, der direkt 
hinter die Anschaltbaugruppe zum Abhoren des Busdatenstroms 
an dem Bus angekoppelt ist. Durch diese MaSnahme wird 
sichergestellt , dafi der Sicherheitsanalysator an dem 
seriellen Bus mit Ringstruktur den gesamten Eingangs- als 
auch den gesamten Ausgangs-Datenstrom auf dem Bus abhoren 
kann. Aufgrund der Erkenntnis des gesamten Datenstroms uber 
den Bus legt der Sicherheitsanalysator 5 in der beschriebenen 
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Ausf uhrungsf orm ein vollstandiges ProzeSabbild in einem dafur 
vorgesehenen Speicher ab. Demzufolge ist der 
Sicherheitsanalysator in der Lage, die Gesamtheit der 
sicherheitsbezogenen Verknupf ungsdaten der 
5 sicherheitsbezogenen Steuerung in der Anschaltbaugruppe zu 

uberprufen und bei Bedarf , d.h. beim Auftreten eines Fehlers, 
den Ausgang 6 zum Abschalten der Gesamtanlage mittels des 
Schutzes 7 sicherheitsgerichtet derart anzusteuern, daS die 
Versorgungsspannung fur die Gesamtanlage ausgeschaltet wird. 

10 

Eine Modifikation der in Fig. 2 dargestellten Ausf uhrungsf orm 
zeigt das erf indungsgemaSe Automatisierungssystem in Fig. 3. 
Der Sicherheitsanalysator 5 ist hier in die Anschaltbaugruppe 
41 integriert. Die sicherheitsbezogene Steuerung der 
15 Standardsteuerungseinrichtung als auch die 
sicherheitsbezogene Datenverarbeitung des 

Sicherheitsanalysators laufen in der Anschaltbaugruppe in 
getrennten und unabhangigen Logikbausteinen ab. Weiterhin ist 
ein zweiter Sicherheitsanalysator 5 ' ' am Kopf des 

20 Lokalbusstichs 8 angeordnet . Diese Anordnung bedingt 

wiederum, daS der Sicherheitsanalysator 5'' die Gesamtheit 
aller Eingangs- als auch der Ausgangsdaten fur die 
Busteilnehmer 33, 34 und 35 des Lokalbusstich 8 abhoren kann 
und demgemaS ein vollstandiges Prozefiabbild fur den 

25 ProzeSablauf innerhalb des Lokalbusstichs anzulegen. Der 
Sicherheitsanalysator 5 * ' ist somit wie der 

Sicherheitsanalysator 5 im Fembus-Abschnitt in der Lage, die 
Gesamtheit der sicherheitsbezogenen Verknupfungsdaten der 
sicherheitsbezogenen Steuerung fur den Lokalbusabschnitt in 
30 der Anschaltbaugruppe zu uberprufen und bei Bedarf wie oben 
stehend beschrieben, uber eine Datenmanipulation die 
notwendigen sicherheitsbezogenen Funktionen auszulosen. Auf 
diese Weise lassen sich hochste Sicherheitsanf orderungen, die 
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an die im Busstich 8 vorliegenden sicherheitsrelevanten Ein- 
und Ausgange gestellt sind, erfullen, da der Lokalbusstich 8 
sowohl durch die sicherheitsbezogene Steuerung der 
Standardsteuereinrichtung als auch durch den 
Sicherheitsanalysator 5 und durch den Sicherheitsanalysator 
5'' abgesichert ist. 

Eine weitere Ausf uhrungsf orm der Erfindung zeigt Fig, 4. Das 
erf indungsgemafie Automatisierungssystem umfaSt zwei 
Sicherheitsanalysatoren 5 und 5', deren sicherheitsbezogenen 
Ausgange 6 und 6' miteinander gekoppelt sind. Beide Ausgange 
steuern eine Vielf ach-Schut zeinrichtung 7 zum Abschalten der 
Versorgungsspannung fur das Gesamt system. Die Anlage wird 
durch eine Standardsteuerungseinrichtung 4 uber den seriellen 
Bus 2 gesteuert. Der Sicherheitsanalysator 5 kann aufgrund 
seiner Anordnung im System die Gesamtheit aller Eingangs- und 
Ausgangsdaten auf dem Bus abhoren, ausgenommen die 
Eingangsdaten des ersten Busteilnehmers 31, der zwischen der 
Steuerungseinrichtung 4 \ind dem Sicherheitsanalysator 5 
angeordnet ist. Der Sicherheitsanalysator 5' kann alle 
Eingangsdaten am Bus abhoren, alle Ausgangsdaten auSer die 
fur den letzten Busteilnehmers sind ihm jedoch nicht 
zuganglich. Der erste Sicherheitsanalysator 5 ist deshalb 
durch Umkopieren der betreffenden Daten im BusdatenfluS in 
der Lage, die ihm zuganglichen Ausgangsdaten in Eingangsdaten 
umzukopieren und somit die dem Sicherheitsanalysator 5' 
eigentlich nicht zuganglichen Ausgangsdaten zum Anlegen eines 
ProzeSabbildes fur den abzusichernden sicherheitsbezogenen 
Busteilnehmer 32 auch dem Sicherheitsanalysator 5' verfugbar 
zu machen. Da beide Sicherheitsanalysatoren dieselbe 
Eingangs information erhalten, konnen sie sich im Hinblick auf 
die sicherheitsbezogenen Ein- bzw. Ausgange des 
abzusichernden Busteilnehmers 32 uberwachen. Auf diese Weise 
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ist eine verteilte Redundanz der Sicherheitstechnik im 
erf indungsgemaSen Automat is ierungs system realisiert. Im 
vorliegenden Beispiel weist der Sicherheitsanalysator 5^ 
weiterhin einen sicherheitsbezogenen Eingang 10 auf, an 
5 welchen ein Notschalter 13 angeschlossen ist. Auf das 
SchlieSen des Notschalters 13 spricht der 

Sicherheitsanalysator 5* mit der im Sicherheitsanalysator 
zugeordneten sicherheitsbezogenen Fiinktion an, namlich dem 
Offnen des Schutzes 7 zur Abschaltung der Gesamtanlage . 

10 

Das beschriebene Verfahren des Umkopierens von Eingangsdaten 
in Ausgangsdaten und umgekehrt wird erf indungsgemaS auch dazu 
benutzt, urn eine Datenverbindung in dem nach dem Master- 
Slave-Prinzip arbeitenden Automatisierungssystem zwischen 

15 zwei Slaves zu realisieren ohne daS der Master fur die 

Datenubermittlung benotigt wird. Hierbei kann beispielsweise 
ein einem Busteilnehmer zugeordneter Sicherheitsanalysator 
das zu ubermittelnde Datum des Busteilnehmers in den 
Eingangs-Datenstrom einfugen und somit einem nachf olgenden 

20 Busteilnehmer ohne die Beanspruchxing des Masters zur 

Verfugung stellen. Auf diese Weise laSt sich bei Bedarf auch 
auf einfache Weise ein Multi- oder Broadcast der Information 
zu alien ubrigen nachf olgenden Busteilnehmern verwirklichen. 

25 In einer nichtdargestellten Ausf uhrungsf orm der Erf indung ist 
der Sicherheitsanalysator in einem zugeordneten 
sicherheitsgerichteten Busteilnehmer integriert . Die 
sicherheitsgerichteten Verknupfungen laufen dabei in einer 
Logikeinheit des Busteilnehmers ab, somit laSt sich im 

30 Busteilnehmer eingebaute Intelligenz fur die 

sicherheitsgerichteten Verknupfungen nutzen. Da der 
Busteilnehmer eine Busschnittstelle auf weist, veringert sich 
der zusatzliche Hardware auf wand fur den Sicherheitsanalysator 



wo 00/79352 



22 



PCT/DEOO/01901 



betrachtlich. 

Bei der Datenubertragung in den beschriebenen 
erf indungsgemaSen Automat isierungssystemen werden zumindest 
5 teilweise die sicherheitsbezogenen Daten in einem 

Sicherheitsprotokoll uber den Bus ubertragen. Dieses 
Sicherheitsprotokoll kann je nach Anforderung zusatzlich zum 
Sicherheitsdatum das negierte Sicherheitsdatum, eine Adresse 
und/oder eine Datensicherungsinf ormation in Form eines CRC 
10 umfassen. Auf diese Weise lassen sich Fehler bei der 

Datenubertragung leicht erkennen. Zu diesem Zweck wird ein im 
erf indungsgemaSen Automat isierungssystem verwendeter 
Sicherheitsanalysator derartig eingerichtet , daS er das 
Sicherheitsprotokoll lesen und entsprechend auswerten kann. 

15 

Mittels der im Sicherheitsprotokoll ubertragene Adresse des 
Sicherheitsbusteilnehmers kann der Sicherheitsanalysator bei 
geandertem Busaufbau, beispielsweise durch 
sicherheitsbezogene Abschaltung der Komponente, eine 

20 Anpassung der Programmierung vornehmen bzw. den Datensatz des 
ihm zugeordneten Teilnehmers erkennen und die Veranderung des 
Busaufbaus berucksichtigen. Zusatzlich kann durch die 
Aufnahme der Adresse in das Sicherheitsprotokoll ein 
Ablagefehler durch einen Busfehler oder einen Ausfall einer 

25 dezentralen Einheit erfaSt werden. 

Eine besondere Ausf uhrungsf orm eines Sicherheitsanalysators 
zur Verwendung im erf indungsgemaSen Automat isierungssystem 
zeigt Fig. 5. Der dargestellte Sicherheitsanalysator 5 weist 
30 sowohl 4 sicherheitsgerichtete Eingange 10 zur Erfassung 

sicherheitsgerichteter Information von Photodetektoren 11 als 
auch 4 sicherheitsgerichtete Ausgange 6 zum Abschalten der 
Versorgungsspannung von 4 Automat isierungsbuskomponent en 
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durch Schutze auf . Die verschiedenen sicherheitsgerichteten 
Ausgange 6 werden dabei im Ansprechen auf die im 
Sicherheitsanalysator ablaufenden Verknupf ungen, den 
Vergleich mit sicherheitsgerichteten Verknupf ungen der 
5 Standardsteuerung und/oder eine sicherheitsbezogene 

Eingangs information uber den Eingang 10 angesteuert . Hierbei 
ist eine Verrieglungslogik im Sicherheitsanalysator abgelegt, 
die vorgibt, welche sicherheitsgerichteten Funktionen beim 
Auftreten eines bestimmten Fehlers ausgelost werden, d.h. 
10 welche Komponenten beim Auftreten des Fehlers von der 
Versorgungsspannung abgetrennt werden mussen. 

Es liegt im Rahmen der Erfindung, dafi ein 
Sicherheitsanalysator neben der Verarbeitung von 
15 sicherheitsbezogenen Daten auch eine Prozefidatenverarbeitung 
durchf uhrt . 

Weiterhin ist f estzuhalten, daS das Prinzip der Erfindung 
nicht auf die in den Ausf uhrungsbeispielen dargestellten 
20 Automatisiemngsbussysteme beschrankt ist, sondem statt 
dessen auf alle Automatisierungsanlagen mit einem Bus 
angewendet werden kann. 
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Patentanspruche : 

5 1. Automatisierungssystem (1), zumindest umfassend 

ein Bussystem (2) , daran 

angeschlossene E/A-Busteilnehmer (31-3 8) und 
eine Standardsteuerungseinrichtung (4; 40, 41), 
sowie wenigstens 
10 - einen Sicherheitsanalysator {5, 5', 

welcher den Datenflufi uber das Bussystem mithort und 
zum Ausfuhren zumindest einer sicherheitsbezogenen 
Funktion ausgebildet ist, 
dadurch gekennzeichnet , dafi 
15 die Standardsteuerungseinrichtung zumindest einen 

sicherheitsbezogenen Ausgang steuert und daS 
der Sicherheitsanalysator zum Uberprufen und/oder 
Verarbeiten von sicherheitsbezogenen Daten im 
Busdatenstrom eingerichtet ist . 

20 

2. Automatisierungssystem (1) nach Anspruch 1, 

dadurch gekennzeichnet , daS der Sicherheitsanalysator 
(5, 5', 5'') eine frei programmierbare Logikeinrichtung 
aufweist, welche die abgehorten Daten, insbesondere die 
25 abgehorten sicherheitsbezogenen Daten verarbeitet . 

3. Automatisierungssystem (1) nach Anspruch 1 oder 2, 
dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5, 5^, kein logischer 

30 Busteilnehmer des Automatisierungssystems (1) ist und 

dieser zumindest einen sicherheitsbezogenen Ausgang (6) 
aufweist, uber welchen wenigstens eine dem 
Sicherheitsanalysator zugeordnete Baugruppe des 
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Automatisierungssystems , insbesondere wenigstens ein 
Busteilnehmer (31-38), ein- Oder ausschaltbar ist . 

4, Automatisierungssystem (1) nach Anspruch 3, 
dadurch gekennzeichnet , dafi 

der Sicherheitsanalysator (5, 5', 5'') zur Abschaltung 
einer Sicherheitsinsel , eines Busstichs (8) und/oder der 
Gesamtanlage eingerichtet ist. 

5. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 4, dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5M zumindest einen 
sicherheitsbezogenen Eingang (10) aufweist, uber welchen 
der Sicherheitsanalysator mit einer sicherheitsbezogenen 
Einrichtung (11) des Automatisierungssystem zur 
Erfassung von sicherheitsbezogenen Daten verbunden ist. 

6- Automatisierungssystem (1) nach einem der Anspruche 1 
bis 5, dadurch gekennzeichnet , daS 

das Bussystem (2) uber eine Anschaltbaugruppe (41) mit 
einem Host (4 0) verbunden ist, 

wobei die prozeEbezogene Steuerung im Host und die 
sicherheitsbezogene Steuerung in der Anschaltbaugruppe 
angeordnet ist • 

7. Automatisierungssystem (1) nach einem der Anspruche 1 
bis 6, dadurch gekennzeichnet , daS 

der Bus (2) ein serieller Bus ist und zumindest ein 
Sicherheitsanalysator .(5, S^) im Fernbus-Abschnitt des 
Automatisierungssystems angeordnet ist . 

•8. Automatisierungssystem (1) nach Anspruch 7, 
dadurch gekennzeichnet , dalS 
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ein Sicherheitsanalysator (5) direkt nach dem Host (40) 
Oder der Anschaltbaugruppe (41) angeordnet ist. 

9. Automat isierungssyst em (1) nach einem der Anspruche 1 
5 bis 8, dadurch gekennzeichnet , daS 

ein Sicherheitsanalysator (5) in der Anschaltbaugruppe 
(41) angeordnet ist . 

10. Automatisierungssystem (1) nach einem der vorstehenden 
10 Anspruche 1 bis 9, dadurch gekennzeichnet , daS der 

Sicherheitsanalysator (5, 5', 5'*} eine 
Speichereinrichtung zum Anlegen eines ProzeSabbildes 
umf a&t . 

15 11. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 10, 
dadurch gekennzeichnet , daS 

der Sicherheitsanalysator (5, 5^, 5'') eine Einrichtung 
zum Manipulieren des auf dem Bus (2) ubertragene 
20 Datenstroms, insbesondere der Eingangs- und/oder 

Ausgangsdaten, aufweist . 

12. Automatisierungssystem (1) nach Anspruch 11, 
dadurch gekennzeichnet , dafi 

25 die Einrichtung Eingangs- und/oder Ausgangsdaten 

uberschreibt und/oder Daten in den Datenstrom einfugt. 

13. Automatisierungssystem (1) nach einem der vorstehenden 
Anspruche 1 bis 12, 

30 dadurch gekennzeichnet , dafi 

zumindest ein Sicherheitsanalysator (5, 5", 
redundant aufgebaut ist. 
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14. Verfahren zum Betrieb einer Automatisierungssystems, 
insbesondere eines Automat isierningssystems (1) nach 
einem der Anspruche 1 bis 13, 

dadurch gekennzeichnet , dalS durch die 
5 Standardsteuerungseinrichtung (4; 40, 41) die 

Prozefisteuerung mit der Verarbeitung von 
prozeSgebundenen E/A-Daten und eine sicherheitsbezogene 
Steuerxjing mit der Verarbeitiing von sicherheitsbezogenen 
Daten durchgefuhrt wird und weiterhin eine Verarbeitung 
10 sicherheitsbezogener Daten auf zumindest einem 

Sicherheitsanalysator (5, 5^, durchgefuhrt wird, 

wobei im Sicherheitsanalysator sicherheitsbezogene 
Daten, insbesondere sicherheitsbezogene 
Verknupfungsdaten im Busdatenstrom verarbeitet werden. 

15 

15. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet , dafi 

in einem Sicherheitsanalysator (5, 5', 5'') ein 
Vergleich der uber den Bus ubertragenen 
20 sicherheitsbezogenen Verknupfungsdaten der 

Standardsteuerungseinrichtung (4, 41) und/oder zumindest 
eines weiteren Sicherheitsanalysators (5, 5', 5'') mit 
den entsprechenden Verknupfungsdaten des ersten 
Sicherheitsanalysators durchgefuhrt wird . 

25 

16. Verfahren nach einem der Anspruche 14 oder 15, 
dadurch gekennzeichnet, dafi 

die durch die Standardsteueriing (4, 41) erzeugten und 
als Ausgangsdaten uber den Bus gesendeten 
30 Verknupfungsdaten in zumindest einem 

Sicherheitsanalysator (5, 5', 5*M durch Nachbilden der 
sicherheitsbezogenen Verknupfungen der 
Standardsteuerung (4, 41) uberpruft werden. 
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17. Verfahren nach einem der Anspruche 14 bis 16, 
dadurch gekennzeichnet , daS 

im Ansprechen auf die Uberprufung oder den Vergleich 
durch den Sicherheitsanalysator (5, 5', 5*M 
sicherheitsbezogene Funktionen ausfuhrt werden. 

18. Verfahren nach einem der Anspruche 14 bis 17, 
dadurch gekennzeichnet, daiS 

im Ansprechen auf die uber den sicherheitsbezogenen 
Eingang (10) des Sicherheitsanalysators (5') erfaSten 
sicherheitsbezogenen Daten der Sicherheitsanalysator 
sicherheitsbezogene Funktionen ausfuhrt. 

19. Verfahren nach Ansprtich 18, 
dadurch gekennzeichnet, daS 

das Ausfuhren einer sicherheitsbezogenen Funktion das 
Ein- Oder Ausschalten zumindest einer Baugruppe des 
Automat isierungsbussystems, insbesondere eines 
Busteilnehmers (32-38) umfaSt. 

20. Verfahren nach einem der Anspruche 14 bis 19, 
dadurch gekennzeichnet, dafi 

der Sicherheitsanalysator (5^, mittels einer 

Einrichtung zum Manipulieren des Datenstroms auf dem Bus 
(2) zumindest ein Datum des Datenstroms uberschreibt , 
loscht und/oder zumindest ein Datum in den Bus- 
Datenstrom einfugt. 

21. Verfahren nach der Anspruch 20, 
dadurch gekennzeichnet, daS 

der Sicherheitsanalysator (5, 5*, den abgehorten 

Datenstrom zumindest teilweise abspeichert und 
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Eingangsdaten des Bus-Datenstroms in Ausgangsdaten des 
Bus-Datenstroms , und umgekehrt, umkopiert. 

22. Verfahren nach einem der Anspruche 14 bis 21, 
5 dadurch gekennzeichnet , daS 

sicherheitsbezogenen Daten in einem 
Sicherheitsprotokoll uber den Bus (2) ubertragen 
werden . 

10 23. Verfahren nach Anspruch 22, 
dadurch gekennzeichnet , daS 

das Sicherheitsprotokoll zusatzlich zum Sicherheitsdatum 
das negierte Sicherheitsdatum, eine laufende Nummer, 
eine Adresse und/oder eine Datensicherungsinf ormation 
IS (CRC) umfafit. 

24, Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet , daS 

der Bus ein nach dem Master- Slave -Prinzip arbeitendes 
20 System ist, wobei Daten zwischen zumindest zwei Slaves, 

insbesondere zwischen einzelnen Busteilnehmern (31-38) , 
mittels einer Daten-Verbindung uber wenigstens einen 
Sicherheitsanalysator (5, 5^ ubertragen werden, 

wobei der Sicherheitsanalysator Daten im Busdatenstrom 
25 umkopiert . 

25. Verfahren nach einem der Anspruche 14 bis 23, 
dadurch gekennzeichnet , daS 

der Bus ein nach dem Master-Slave-Prinzip arbeitendes 
30 System ist, wobei Daten zwischen zumindest zwei Slaves, 

insbesondere zwischen einzelnen Busteilnehmern (31-38) , 
mittels einer Daten-Verbindung uber die Steuerung oder 
den Master ubertragen werden, wobei die Steuerung bzw. 
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der Master Daten im Busdatenstrom umkopiert • 

26- Verfahren nach einem der Anspruche 14 bis 25, 
dadurch gekennzeichnet , dafi 
5 mittels eines Sicherheitsanalysators (5, 5*, 5'') 

Qualitatsdaten erzeugt und/oder eine Aufbereitung der 
gelesenen Daten zur weiteren Verarbeitung durchgefuhrt 
werden . 

10 27. Verfahren nach einem der Anspruche 14 bis 26, 
dadurch gekennzeichnet, daS 

die in einem Sicherheitsanalysator (5M ablaufenden 
sicherheitsbezogenen Verknupf ungen zumindest teilweise 
redundant in wenigstens einem weiteren 
15 Sicherheitsanalysator (5^M durchgefuhrt und durch beide 

Sicherheitsanalysatoren zumindest teilweise die 
gleichen Sicherheitsf unktionen ausgefuhrt werden. 

28. Verfahren nach einem der Anspruche 14 bis 21, 
20 dadurch gekennzeichnet, dalS 

ein Sicherheitsanalysator zumindest teilweise auch eine 
ProzeSdatenverarbeitung durchf uhrt . 
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(57) Abstract: The invention relates to a security-related automation sys- 
tem and a method for operating said system. In order to produce a secu- 
rity-related bus automation system which involves a minimum amount of 
hardware redundancy and which can be adapted to requirements in a flexi- 
ble manner, the automation system comprises at least one security analyzer 
which is connected to the bus by means of an interface and which monitors 
the data flow via said bus, whereby the analyzer is configured in such a 
way that it can execute security-related functions. The automation system 
is characterized in that a standard control device controls at least one se- 
curity-related output and the security analyzer is configured in such a way 
that it can monitor and/or process security-related data in the bus data flow. 

(57) Zusammenfassung: Die Erllndung belrifft ein sicherheitsbezogenes 
Automaiisienmgssysiem und ein Verfahrcn zum Bctrieb eines derartigen 
Systems. Urn ein sicherheitsbezogenes Automaiisierungsbussysiem bereit- 
zuslcUen, welches mil einer geringen Hardware-Redundanz auskommt und 
flexibel an die jeweiligen Anfordemisse angepaBt werden kann. umfalil das 
Auiomaiisicrungssystem zumindest einen Sicherheitsanalysaior der mil- 
lels einer Schnitisielle an den Bus angeschlossen ist und den DatenfluB 
iiber den Bus mithort. wt>bei der Analysator zum Ausfiihren von sicher- 
heilsbezogenen Funkiionen eingerichiet ist. Das Auiomatisierungssystem 
zeichnel .sich dadurch aus, daB die Slandardsteuereinrichtung zumindest ei- 
nen sicherheitsbezogenen Ausgang ansieuert und der Sicherheitsanalysafor 
zur OberprUfung und/oder zum Verarbeiten von sicherheitsbezogenen Da- 
tcn im Busdaienstrom ausgebildet ist. 
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